Es muy probable que el desarrollador que implementa la pieza de código vulnerable esté restringido para modificarlo ya sea por una licencia o por la imposibilidad de hacerlo debido a que no hay suficiente conocimiento para modificar el código, no hay acceso a él u otro similar impedimentos Dicho esto, debe informar la vulnerabilidad al desarrollador externo, que luego debe tomar medidas para mitigar el problema y enviar los cambios a cualquiera que use el código.
Se recomienda que informe el problema a los programas o aplicaciones afectados, pero eso depende de usted. Después de todo, no hay ninguna normativa sobre divulgación de vulnerabilidades y la única pauta es su razonamiento ético.
Para responder directamente a su pregunta, si el desarrollador del código vulnerable es responsable de su mantenimiento (según la licencia del software), lo más probable es que sea la única parte que esté dispuesta o sea elegible para pagarle una recompensa. Sin embargo, se recomienda divulgar la vulnerabilidad a las partes afectadas y es posible que también estén dispuestos a recompensarlo en función de la gravedad de la vulnerabilidad y su capacidad para mitigarla.